Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
ONTAPruoli e utenti
NetApp ONTAPinclude una funzionalità di controllo degli accessi basata sui ruoli (RBAC) robusta ed estensibile. ONTAPi ruoli definiscono le capacità e i privilegi degli utenti quando si utilizzano la ONTAP CLI e l'API REST. Ogni ruolo definisce un diverso livello di capacità e privilegi amministrativi. Assegni ruoli agli utenti allo scopo di controllarne l'accesso alle FSx risorse For ONTAP quando usi l'API ONTAP REST e la CLI. Sono disponibili ONTAP ruoli separati per gli utenti del file system ONTAP e FSx per gli utenti della macchina virtuale di archiviazione (SVM).
Quando si crea un file system FSx for ONTAP, viene creato un ONTAP utente predefinito a livello di file system e a livello SVM. È possibile creare utenti di file system e SVM aggiuntivi e creare ruoli SVM aggiuntivi per soddisfare le esigenze dell'organizzazione. Questo capitolo spiega ONTAP utenti e ruoli e fornisce procedure dettagliate per la creazione di utenti e ruoli SVM aggiuntivi.
Ruoli e utenti dell'amministratore del file system
L'utente predefinito del ONTAP file system èfsxadmin, a cui è assegnato il fsxadmin ruolo. È possibile assegnare due ruoli predefiniti agli utenti del file system, elencati di seguito:
-
fsxadmin—Gli amministratori con questo ruolo dispongono di diritti illimitati nel sistema. ONTAP Possono configurare tutte le risorse a livello di file system e SVM disponibili sui FSx file system ONTAP. fsxadmin-readonly—Gli amministratori con questo ruolo possono visualizzare tutto a livello di file system ma non possono apportare modifiche.Questo ruolo è ideale per l'uso con le applicazioni di monitoraggio, ad esempio NetApp Harvest perché ha accesso in sola lettura a tutte le risorse disponibili e alle relative proprietà, ma non può apportarvi alcuna modifica.
È possibile creare utenti del file system aggiuntivi e assegnare loro il ruolo o. fsxadmin fsxadmin-readonly Non è possibile creare nuovi ruoli o modificare i ruoli esistenti. Per ulteriori informazioni, consulta Creazione di nuovi ONTAP utenti per l'amministrazione del file system e SVM.
La tabella seguente descrive il livello di accesso dei ruoli di amministratore del file system per i comandi e le directory dei comandi ONTAP CLI e REST API.
| Nome ruolo | Livello di accesso | Ai seguenti comandi o directory di comandi |
|---|---|---|
|
|
tutto | Tutte le directory di comandi disponibili in FSx ONTAP |
|
tutto |
Solo per gestire il proprio account utente, la password locale e le informazioni chiave |
| nessuno | security |
|
| sola lettura | Tutte le altre directory di comandi disponibili in FSx ONTAP |
Ruoli e utenti dell'amministratore SVM
Ogni SVM ha un dominio di autenticazione separato e può essere gestita in modo indipendente dai propri amministratori. Per ogni SVM del file system, l'utente predefinito è vsadmin, a cui viene assegnato il vsadmin ruolo di default. Oltre al vsadmin ruolo, esistono altri ruoli SVM predefiniti che forniscono autorizzazioni limitate che è possibile assegnare agli utenti SVM. È inoltre possibile creare ruoli personalizzati che forniscono il livello di controllo degli accessi adatto alle esigenze dell'organizzazione.
I ruoli predefiniti per gli amministratori SVM e le relative funzionalità sono i seguenti:
| Nome ruolo | Funzionalità |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Per ulteriori informazioni su come creare un nuovo ruolo SVM, vedereCreazione di ruoli SVM.
Utilizzo di Active Directory per autenticare gli utenti ONTAP
È possibile autenticare l'accesso degli utenti del dominio Windows Active Directory a un file system FSx for ONTAP e a SVM. È necessario eseguire le seguenti attività prima che gli account Active Directory possano accedere al file system:
È necessario configurare l'accesso del controller di dominio Active Directory alla SVM.
L'SVM utilizzato per configurare come gateway o tunnel per l'accesso al controller di dominio Active Directory deve avere CIFS abilitato, essere aggiunto a un Active Directory o entrambi. Se non stai abilitando CIFS e stai solo unendo il tunnel SVM a un Active Directory, assicurati che l'SVM sia aggiunto al tuo Active Directory. Per ulteriori informazioni, consulta Come funziona l' SVMs accesso a Microsoft Active Directory.
È necessario abilitare un account utente di dominio Active Directory per accedere al file system.
È possibile utilizzare l'autenticazione tramite password o l'autenticazione a chiave pubblica SSH per gli utenti del dominio Windows che accedono alla ONTAP CLI o all'API REST.
Per le procedure che descrivono come utilizzare per configurare l'autenticazione Active Directory per gli amministratori del file system e SVM, vedere. Configurazione dell'autenticazione Active Directory per gli utenti ONTAP
Creazione di nuovi ONTAP utenti per l'amministrazione del file system e SVM
Ogni ONTAP utente è associato a un SVM o al file system. Gli utenti del file system con il fsxadmin ruolo possono creare nuovi ruoli e utenti SVM utilizzando il comando security login create
Il security login create comando crea un metodo di accesso per l'utilità di gestione. Un metodo di accesso è costituito da un nome utente, un'applicazione (metodo di accesso) e un metodo di autenticazione. Un nome utente può essere associato a più applicazioni. Facoltativamente può includere un nome di ruolo per il controllo degli accessi. Se viene utilizzato un nome di gruppo Active Directory, LDAP o NIS, il metodo di login consente l'accesso agli utenti appartenenti al gruppo specificato. Se l'utente è membro di più gruppi indicati nella tabella di accesso di sicurezza, avrà accesso a un elenco combinato dei comandi autorizzati per i singoli gruppi.
Per informazioni su come creare un nuovo ONTAP utente, vedere. Creazione di utenti ONTAP
Argomenti
